INSTAGRAM BUSINESS

Instagram gehört für viele Unternehmen, Vereine und andere Einrichtungen fast schon zum guten Ton. Aktuelle Informationen werden häufig nur noch über Instagram zur Verfügung gestellt. In machen Bereichen scheint Instagram Facebook den Rang abgelaufen zu haben.Meta bzw. Facebook beschäftigt die Datenschutzwelt mit allen dazugehörigen Plattformen seit Jahren. Instagram fällt selbst für Meta-Verhältnisse ein wenig aus dem Rahmen. Bei der Nutzung eines Instagramprofils werden immer jede Menge personenbezogener Daten verarbeitet. Das ist das Geschäftsmodel von Meta. Die Datenschutzhinweise von Instagram sind schon eine Herausforderung für sich. Kopiert und in eine Textdatei eingefügt bringen diese Informationen es auf 11 DIN A4 Seiten – in Schriftgröße 10 … Das spricht nicht für Transparenz. Die erschreckendsten Informationen erhält man aber direkt am Anfang: … die Inhalte, Kommunikationen und sonstigen Informationen, die du bereitstellst, wenn du unsere Produkte nutzt; dazu gehören … das Kommunizieren mit anderen. … Besonders interessant ist auch der Hinweis, dass besondere Kategorien von personenbezogenen Daten zwar in Europa unter besonderem Schutz stehen und sie freiwillig angegeben werden können – aber dann? Sicherlich handelt es sich bei dieser freiwilligen Angabe nicht um eine rechtswirksame Einwilligung. Dazu fehlt es schon an der Informiertheit.

Nach dem ernüchternden, wenn auch erwartbaren Ergebnis des kürzlich erschienen Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages der „Taskforce Facebook-Fanpages“ der DSK, welches Themas unseres Blogbeitrags der letzten Woche war, stellt sich die Frage, ob die Erkenntnisse auch auf Instagram-Business übertragbar ist. Bei Instagram kann man zwischen zwei Versionen wählen: „Normal“ und „Business“.


WAS UNTERSCHEIDET DIE INSTAGRAM-BUSINESS VERSION?

Häufig kann man sich bei der Verwendung der Businessversionen von Anwendungen und Apps zumindest sichererer fühlen und hat einen Teil richtig gemacht. Das gilt fast immer aus lizenzrechtlicher Sicht. Aus datenschutzrechtlicher Sicht kann sich ein anderes Bild ergeben. Insbesondere gilt das bei Nutzung der Social-Media-Plattform Instagram in der Business Version.

Der Instagram-Business Account bietet zusätzliche Features. So kann ein Profil von jedem gesehen werden. Bei dieser Form des Instagram-Accounts können Sie Ihre Kontaktinformationen zu Ihrem Profil hinzufügen. Aktuelle und potenzielle Kunden können Ihr Profil besuchen und diese Schaltfläche verwenden, um Sie zu erreichen. Instagram-Busines bietet auch Online-Shops und sog. Shoppable Posts, die sich perfekt für E-Commerce-Websites und Einzelhändler eignen.

Diese zusätzlichen Features machen den Account aus Marketingsicht interessant, aber aus datenschutzrechtlicher Sicht noch problematischer. Besonders zu beachten ist in diesem Zusammenhang Insights. Beim Besuch eines Instagram-Business-Profils werden diesbezüglich größtenteils dieselben Cookies gesetzt wie bei Facebook. Für die Datenverarbeitungen bei Insights gibt es bei Meta nur eine Datenschutzinformationen, sodass davon ausgegangen werden kann, dass es sich um ein und dieselbe Produkt handelt. Die in Rechtsprechung und Literatur vertretenen Auffassungen zu Facebook sind daher auch auf Instagram-Business übertragbar.

Zur Vereinbarkeit von Insights mit der DS-GVO und dem TTDSG sei im wesentliche auf die Ausführungen des Blogbeitrags der letzten Woche verweisen. Zusätzlich zum dort erläuterten sollten Betreibende von Instagram-Accounts sich bewusst machen, dass neben dem durch Instagram für angemeldete User, auch anderer Meta Plattformen, gesetzten Cookies c_user auch grundsätzlich ein Cookie dat_r für User ohne Konto oder Anmeldung gesetzt wird. Diese sind beide nicht nur dazu geeignet, sondern werden auch aktiv für Profilbildungen genutzt. Von Instagram selbst wird zum jetzigen Zeitpunkt keine rechtswirksame Einwilligung gemäß § 25 TTDSG eingeholt.


WEITERE DATENSCHUTZRECHTLICHE PFLICHTEN

Weiterhin problematisch ist auch, wie im oben genannten Kurzgutachten unter Punkt 4 erläutert, dass Betreibende eines Instagram-Profils als Verantwortliche die weiteren datenschutzrechtlichen Verpflichtungen aus Art 5 DS-GVO wie „auf nachvollziehbare Weise“, „Datenminimierung“, „Speicherbegrenzung“ nicht erfüllen können, da Sie keinen Einfluss darauf haben. Aus denselben Gründen können Sie auch nicht Ihren Verpflichtungen aus Art 13 DS-GVO nachkommen und Nutzende über die Datenverarbeitung informieren. Zusätzlich erschwerend ist, dass eine Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn die Vorgaben der Artt. 44 ff. DS-GVO eingehalten werden. Dies muss vom datenschutzrechtlich Verantwortlichen, also vom Betreibenden, geprüft werden.


WOHIN MIT DEN PFLICHTANGABEN?

Bei beiden Varianten – „Normal“ oder „Business“ – müssen im geschäftlich genutzten Profil ein Impressum und Datenschutzinformation eingebunden werden. Instagram bietet kein geeignetes Feld für diese Angabe. Die Option, den gesamten Impressums- und Datenschutzerklärungstext in die Beschreibung einzufügen, gibt es nicht, da Instagram die Eingabe auf 150 Zeichen beschränkt.

Es besteht die Möglichkeit, in der Profilbeschreibung auf Seiten der Website zu verweisen. Der Link ist aber nicht „klickbar“. Um einen klickbaren Link zum Impressum und zur Datenschutzinformation einzufügen, bleibt nur das Feld „Website“. Hier ist gut zu überlegen, wo dieser Link hinführt. Die Datenschutzinformation der eigenen Homepage ist regelmäßig keine gute Lösung, da sich die Angaben leicht widersprechen können. So es für die Internetseite stimmen mag, dass kein Drittlandtransfer stattfindet – die Information zu Instagram würde das dann ad absurdum führen.

Es gibt auf dem Markt einige Dienstleister, die eine vorgefertigte Lösung für Instagram anbieten. Datenschutzrechtlich ist von einer solchen externen Lösung eher abzuraten, da Nutzende auf diese Weise nur auf Umwegen über den Anbieter – teils in einem sog. unsicheren Drittland – zum Ziel gelangen.


FAZIT

Das Betreiben eines Instagram-Business-Accounts ist datenschutzkonform – aus denselben Gründen wie eine Facebook-Fanpage –  nicht möglich. Beim Betreiben eines „normalen Accounts“ entfällt zumindest die Verarbeitung über Insights. Alle anderen Datenverarbeitungen bleiben bestehen und damit auch die – nicht nur datenschutzrechtlichen – Pflichten.

Entscheiden Sie sich dennoch für ein Instagram-Profil sollten grundsätzlich sämtliche in den Datenschutz- und Sicherheitseinstellungen angebotenen Möglichkeiten ausgeschöpft werden, um die Erhebung und Verarbeitung von personenbezogenen Daten von Besuchenden auf das absolute Minimum zu beschränken. Alle Veröffentlichungen sollten so datensparsam wie möglich erfolgen. Idealerweise finden sich Inhalte, die auf Instagram gepostet werden, alternativ auch auf Ihrer Homepage, sodass niemand gezwungen ist, die Plattformen zu nutzen, um auch diese Inhalte sehen zu können.

Für die Umsetzung der datenschutzrechtlichen Anforderungen stehen wir Ihnen – für den Fall, dass wir Sie nicht davon überzeugen konnten, auf Instagram zu verzichten – gerne zur Verfügung. Sprechen Sie uns an.

Über die Autorin: Tanja Albert ist als externe Datenschutz- und Informationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie berät neben Einrichtungen im Gesundheits-, sozialen und kirchlichen Bereich auch Unternehmen die international in der klinischen Forschung tätig sind. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzkonferenz
  • Facebook
  • Instagram
  • Soziale Netzwerke
  • TTDSG
Lesen

DSK: KURZGUTACHTEN ZU FACEBOOK-FANPAGES

Zum 18. März 2022 hat die „Taskforce Facebook-Fanpages“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) ein 40-seitiges Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vorgelegt. Darin finden insbesondere die seit dem 01. Dezember 2021 geltenden Regelungen des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) und dessen Auswirkungen auf die rechtliche Beurteilung der Zulässigkeit des Betriebs einer Facebook-Fanpage Berücksichtigung. Die Taskforce nimmt dabei ebenfalls Bezug auf ein aktuelles Urteil des OVG Schleswig vom 25. November 2021. Die Inhalte und Auswirkungen des Kurzgutachtens für verantwortliche Stellen soll der nachfolgende Beitrag näher beleuchten.


WOMIT BEFASST SICH DAS KURZGUTACHTEN UND WOMIT NICHT?

Das Kurzgutachten befasst sich unter Berücksichtigung des seit 01. Dezember 2021 anzuwendenden TTDSG hauptsächlich mit der Speicherung von und dem Zugriff auf Informationen (Cookies) in den Endeinrichtungen von Nutzenden. Weiterhin wird die sich daran anschließende Verarbeitung und Verknüpfung mit Nutzungsdaten zu Statistikzwecken sowie zur Profilbildung und zu Werbezwecken thematisiert.

Lediglich umrissen wird hingegen die generellen datenschutzrechtlichen Anforderungen für Betreibende von Facebook-Fanpages sowie eine weitere Positionierung zur datenschutzrechtlichen Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages. Hierzu hatte die DSK bereits im September 2018 sowie April 2019 entsprechende Stellungnahmen veröffentlicht. Bereits aus diesen ging hervor, dass ein Betrieb von Facebook-Fanpages nicht vollständig datenschutzkonform erfolgen kann.


VEREINBARKEIT MIT DEM TTDSG

Im Rahmen des Kurzgutachtens wird zunächst eine Darstellung der beim Aufruf von Facebook-Fanpages gesetzten Cookies vorgenommen. Hierbei sind grundsätzlich Cookies zu unterscheiden, die bei nicht-registrierten Nutzenden sowie bei registrierten Nutzenden gesetzt werden.

Unstreitig ist eine Facebook-Fanpage als Telemediendienst einzustufen, an deren Bereitstellung der jeweilige Betreiber der Facebook-Fanpage mitwirkt. Dementsprechend handelt es sich bei dem Betreiber um einen „Anbieter von Telemedien“ im Sinne des § 2 Abs. 2 Nr. 1 TTDSG. Somit obliegt diesem ebenfalls die Verpflichtung zur Einhaltung der Regelungen des § 25 TTDSG. Entsprechend des § 25 TTDSG bedürfen Cookies, welche nicht zur Erbringung des jeweiligen Dienstes technisch zwingend benötigt werden, einer Einwilligung. Im Ergebnis ist somit der Betreiber einer Facebook-Fanpage neben Facebook für das Einholen einer gegebenenfalls erforderlichen wirksamen Einwilligung (mit-)verantwortlich.

Das Kurzgutachten widmet sich unter Berücksichtigung dieser Grundvoraussetzungen der Frage, ob die Bereitstellung einer Facebook-Fanpage den Anforderungen aus § 25 TTDSG nachkommen kann. In diesem Zusammenhang wird sich ausführlich mit der Frage auseinandergesetzt, ob die im Rahmen einer Facebook-Fanpage gesetzten Cookies zur Erbringung des Telemediendienstes als technisch zwingend erforderlich bezeichnet werden können. Aufgrund der untrennbaren Verknüpfung mit Verarbeitungen zu Analyse- und Werbezwecken kommt die Taskforce unter Bezugnahme auf die Ausführungen des OVG Schleswig jedoch zu dem Ergebnis, dass die gesetzten Cookies nicht (ausschließlich) zur Erbringung des Telemediendienstes erforderlich und mithin einwilligungsbedürftig sind.

Das seitens Facebook bereitgestellte Einwilligungs-Banner bietet unter Berücksichtigung der Ausführungen der Taskforce sowie des OVG Schleswig zwar grundsätzlich die Möglichkeit Cookies zu akzeptieren bzw. weiterführende Einstellungen vorzunehmen, es erfüllt inhaltlich jedoch nicht die Anforderungen, welche an eine rechtskonforme Einwilligungserklärung zu stellen sind. Das Kurzgutachten kommt dementsprechend zu dem Ergebnis, dass für das Setzen der Cookies keine wirksame Einwilligung eingeholt wird. Die im Rahmen eines Aufrufes einer Facebook-Fanpage gesetzten Cookies werden somit ohne einschlägige Rechtsgrundlage gesetzt. Der Betrieb einer Facebook-Fanpage ist demnach unter Berücksichtigung der Anforderungen des § 25 TTDSG nicht mit dem TTDSG vereinbar.


VEREINBARKEIT MIT DER DS-GVO

Zur Vereinbarkeit der Verarbeitung personenbezogenen Daten im Rahmen von Facebook-Fanpages, insbesondere bezüglich der jeweiligen Insight-Statistiken, führt das Kurzgutachten zur datenschutzrechtlichen gemeinsamen Verantwortlichkeit von Facebook und dem jeweiligen Betreiber der Facebook-Fanpage aus. Die Einstufung als gemeinsame Verantwortliche im Sinne des Art. 26 DS-GVO entstammt der Rechtsprechung des Europäischen Gerichtshofes und wurde sowohl durch das Bundesverwaltungsgericht als auch das OVG Schleswig aufgegriffen.

An dieser Stelle positiv hervorzuheben ist, dass das OVG Schleswig in der Datenverarbeitung zu Werbezwecken durch Facebook keine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DS-GVO sieht. Hierbei fehle es „insoweit jedenfalls an einer gemeinsamen Entscheidung über den Zweck der Datenverarbeitung.“ Dieser Ansicht folgt die Taskforce jedoch nicht. Sie sieht in der Nutzung eines werbefinanzierten Dienstes durch den Betreiber der Facebook-Fanpage durchaus ein eigenes Interesse an der Verarbeitung von personenbezogenen Daten von Facebook. Auch wenn die Taskforce die Argumentation unter Nennung des sogenannten „Netzwerkeffektes“ stützt, kann diese im Ergebnis nicht überzeugen.

Übereinstimmend kann jedoch eine gemeinsame Verantwortlichkeit hinsichtlich der Verarbeitung personenbezogener Daten zu Insight-Statistiken angenommen werden. Das Kurzgutachten weist in diesem Zusammenhang darauf hin, dass eine jede Verarbeitung personenbezogener Daten einer einschlägigen Rechtsgrundlage bedarf. Eine solche liege jedoch für die Anfertigung von Statistiken ausdrücklich nicht vor. Die Annahme einer Einwilligung scheitere bereits aufgrund der Ausführungen zur Einwilligung hinsichtlich des Setzens von Cookies, die Durchführung einer Interessenabwägung sei bereits wegen einer unmöglich vorzunehmenden Prüfung der Rechtskonformität nicht möglich.

Abschließend verweist das Kurzgutachten auf die datenschutzrechtlichen Grundsätze nach Art. 5 Abs. 1 DS-GVO sowie die Verpflichtung zur Bereitstellung transparenter Informationen nach Art. 26 DS-GVO hinsichtlich der gemeinsamen Verarbeitung personenbezogener Daten durch Facebook und dem jeweiligen Betreiber der Facebook-Fanpage sowie nach Art. 13 DS-GVO hinsichtlich der jeweils eigenverantwortlichen Verarbeitung personenbezogener Daten. Beide Informationspflichten lassen sich nach Auffassung der Taskforce aufgrund unzureichender Informationsbereitstellung durch Facebook nicht im erforderlichen Rahmen bereitstellen. Im Ergebnis ist dem Kurzgutachten eine deutliche Verneinung der Vereinbarkeit mit der DS-GVO zu entnehmen.


ERGEBNIS DES KURZGUTACHTENS

Auch wenn einige Ausführungen des Kurzgutachtens äußerst komplex dargestellt werden, erfreut sich das Ergebnis einer besonders klaren Formulierung: „Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DS-GVO nicht erfüllt.“ Facebook-Fanpages lassen sich somit nicht datenschutzkonform betreiben.


FAZIT

Die Inhalte des Kurzgutachtens sind inhaltlich (weitestgehend) nicht zu beanstanden, überraschen darüber hinaus jedoch auch wenig. Im Ergebnis ist festzuhalten, dass das vorliegende Kurzgutachten durch die betreffenden verantwortlichen Stellen – wenn überhaupt – nur schulterzuckend zur Kenntnis genommen werden wird. Dass ein Betrieb von Facebook-Fanpages nicht vollständig datenschutzkonform erfolgen kann, ist bereits seit einigen Jahren Gegenstand der datenschutzrechtlichen Beratungspraxis. Eine entsprechende Sanktionierung seitens der Aufsichtsbehörden blieb bislang weitestgehend aus, sodass sich verantwortliche Stellen auch weiterhin in der Breite dieses Marketinginstrumentes bedienen werden. Daran wird auch das Veröffentlichen eines weiteren Gutachtens nichts ändern können.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 05. April 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Datenschutzkonferenz
  • Facebook
  • Gemeinsame Verantwortlichkeit
  • Gutachten
  • TTDSG
Lesen

WHISTLE-BLOWING-RICHTLINIE

Die „Whistleblowing-Richtlinie“ – Richtlinie (EU) 2019/1937 des Europäischen Parlamentes und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden – dient einerseits dem Schutz von Hinweisgebenden, die Verstöße gegen EU-Recht melden wollen und verpflichten andererseits öffentliche und private Organisationen sowie Behörden dazu, sichere Kanäle für die Meldung von Missständen einzurichten. Die Vorgaben der EU-Richtlinie sowie die datenschutzrechtlichen Implikationen soll der nachfolgende Beitrag aufzeigen.


INHALTE DER RICHTLINIE

Unternehmen mit mehr als 50 Beschäftigten müssen interne Meldekanäle einrichten. Das Meldeverfahren lässt sich im Wesentlichen in drei Stufen unterteilen:

(1) Interne Meldung,
(2) Meldung an die zuständige Behörde,
(3) Meldung an die Öffentlichkeit.

Gemäß Art. 9 RL-EU 2019/1937 müssen die Meldekanäle eine Meldung in schriftlicher, mündlicher oder persönlicher Form ermöglichen. Jegliche übermittelte Information bedarf der Dokumentation in schriftlicher Form oder durch die Erstellung einer Tonaufzeichnung in dauerhafter und abrufbarer Form, jedoch muss nicht befugten Beschäftigten der Zugriff darauf verwehrt bleiben. Von besonderer Bedeutung ist der Schutz der Vertraulichkeit der Identität des Meldenden.

Das Unternehmen soll den Hinweisgebenden innerhalb von 3 Monaten nach Meldung umfassend unterrichten, wie mit dem Hinweis verfahren wurde und welche Folgemaßnahmen das Unternehmen geplant und ergriffen hat. Weiterhin besteht ein umfangreiches Verbot von Repressalien (z. B. Suspendierung, Kündigung, Herabstufung oder Versagung einer Beförderung, Nötigung, Einschüchterung, Mobbing oder Ausgrenzung, aber auch Nichtverlängerung befristeter Arbeitsverträge, Rufschädigung etc.). Auch gilt nunmehr eine Beweislastumkehr: Bisher mussten Hinweisgebende den Zusammenhang zwischen Meldung und Benachteiligung im Streitfall nachweisen. Nun muss Arbeitgeber bzw. das Unternehmen den (abweichenden) Grund für eine vermeintliche Benachteiligung darlegen und gegebenenfalls beweisen. Weiterhin ist kein Vorrang des internen vor dem externen Whistleblowing mehr vorgesehen, d.h. der Hinweisgebende muss den Hinweis nicht erst an das Unternehmen geben, sondern kann sich unmittelbar an externe Stellen wenden. Dabei sind die Motive des Hinweisgebenden irrelevant, d. h. selbst Hinweisgebende, die nur in der Absicht handeln, das Unternehmen zu schädigen, sind geschützt.

Vorgesehen sind Sanktionen für Unternehmen, die Meldungen behindern oder dies zumindest versuchen, Repressalien ergreifen oder die Identität des Hinweisgebenden unberechtigt preisgeben. Darüber hinaus wird ein Schadensersatzanspruch des Hinweisgebenden geschaffen.


DATENSCHUTZRECHTLICHE IMPLIKATIONEN

Die Meldung von Missständen birgt ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Nach Auffassung der Datenschutzkonferenz (DSK) lässt sich ein Whistleblowing-Meldeverfahren unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks und der Einrichtungsmodalitäten datenschutzgerecht gestalten und betreiben (vgl. dazu „Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotline: Firmeninterne Warnsysteme und Beschäftigtendatenschutz“ Stand 14. November 2018). Da es sich bei Whistleblowing-Systemen um Verfahren nach Art. 38 Abs. 1 DS-GVO handelt, ist der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden.

Bekanntlich sind EU-Richtlinien in nationales Recht umzusetzen. Das ist hinsichtlich der Whistleblowing-Richtlinie in Deutschland bislang nicht erfolgt. Die Richtlinie hätte bis 17.12.2021 in nationales Recht umgesetzt werden müssen. Die neue Bundesregierung ist sich ihrer Umsetzungspflicht bewusst, ein konkreter Umsetzungszeitraum wird in dem Koalitionsvertrag allerdings nicht genannt. Mithin stellt sich die Frage, welche Wirkung die Whistleblower-Richtlinie bis zur Verabschiedung eines Umsetzungsgesetzes entfaltet. Grundsätzlich gilt, dass EU-Richtlinien keine unmittelbare Wirkung entfalten, sondern eines nationalen Umsetzungsaktes bedürfen. Daraus folgt für die Privatwirtschaft eine eindeutige Rechtslage im Hinblick auf die verpflichtende Einrichtung interner Hinweisgeber-Systeme: Unter Zugrundelegung der ständigen Rechtsprechung des Europäischen Gerichtshofs (EuGH) führt die Whistleblower-Richtlinie zu keiner unmittelbaren Einrichtungspflicht für natürliche und juristische Personen des Privatrechts.

Anders beurteilt sich die Lage für juristische Personen des öffentlichen Rechts. In Abgrenzung zu Privatpersonen nimmt der Unionsgesetzgeber mit der Einrichtungspflicht für den öffentlichen Bereich staatliche Akteure bzw. mit staatlichen Aufgaben betraute Stellen/Einrichtungen in die Pflicht. Für diese ist eine unmittelbare Wirkung von Richtlinienvorgaben nicht ausgeschlossen. Zudem normiert Art. 9 RL-EU 2019/ 1937 weitestgehend konkrete und inhaltlich unbedingte Vorgaben für die Gestaltung interner Hinweisgeber-Systeme. Die Einrichtungspflicht für juristische Personen des öffentlichen Rechts wirkt daher seit dem 18.12.2021 unmittelbar.

Für Unternehmen bleibt es auch 2022 wichtig, die Gesetzgebung im Auge zu behalten. Das deutsche Hinweisgeberschutzgesetz wird kommen. Die wesentlichen Anforderungen an Unternehmen und Behörden können der EU-Whistleblower-Richtlinie bereits entnommen werden. Prüfen Sie, welche der genannten Meldewege am praktikabelsten ins Unternehmen passen und bereiten Sie sich frühzeitig auf die Umsetzung unter Berücksichtigung datenschutzrechtlicher Anforderungen vor.

Über die Autorin: Carolin Rubel ist Rechtsanwältin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Im Fokus ihrer Beratungstätigkeiten liegen neben der Betreuung von Auftraggebern aus den allgemeinen Bereichen Industrie/Handel/Dienstleistung, spezialisiert Wohnungsunternehmen sowie kirchliche Stellen und Auftraggeber aus dem Gesundheitsbereich. Für Anregungen und Reaktionen zu diesem Beitrag können Sie die Autorin gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 05. April 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Beschäftigtendatenschutz
  • Datenschutzkonferenz
  • Hinweisgeber
  • Whistleblowing
  • Whistleblowing-Richtlinie
Lesen

BESCHLUSS DER DSK ZUR NICHTANWENDUNG TECHNISCHER UND ORGANISATORISCHER MAßNAHMEN

Am 24. November 2021 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – kurz: DSK) gegen die Stimme Sachsens einen Beschluss zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DS-GVO auf ausdrücklichen Wunsch betroffener Personen gefasst. Der Inhalt des Beschlusses sowie seine möglichen Auswirkungen für die Praxis sollen im nachstehenden Beitrag näher erörtert werden.


WAS BEINHALTET DER BESCHLUSS?

Durch Ziff. 1 folgt direkt die erste diskussionswürdige Aussage: „Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen.“ So weit so gut. Die zentrale Frage, welche hier aufgeworfen werden muss ist, warum die DSK davon ausgeht, dass es sich bei Art. 32 DS-GVO um eine „objektive Rechtspflicht“ handelt. Unter den Terminus objektives Recht sind gemeinhin alle Rechtsvorschriften eines Rechtsstaates in ihrer Gesamtheit zu fassen. Vom objektiven Recht ist das subjektive Recht abzugrenzen, welches den Anspruch bzw. ein sonstiges Recht eines jeden Einzelnen beschreibt. Sofern die DSK in Bezug auf Art. 32 DS-GVO nunmehr eine objektive Rechtspflicht annimmt, verwundert dies mit Blick auf Art. 8 Charta der Grundrechte der Europäischen Union (GRCh) sowie Art. 1 DS-GVO doch sehr. Ausweislich des Art. 1 Abs. 2 DS-GVO werden „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ zu Regelungsgegenstand der Datenschutz-Grundverordnung erklärt. Primäres Schutzgut ist also das Grundrecht auf Datenschutz nach Art. 8 GRCh. Nichts anderes gilt im Hinblick auf Art. 32 DS-GVO. Der Zweck dieser Vorschrift ist die Unterstützung und Durchsetzung der in der Datenschutz-Grundverordnung geregelten Vorschriften durch technische und organisatorische Maßnahmen. Die Norm ist in erster Linie auf den Schutz der Rechte und Freiheiten der von der Datenverarbeitung betroffenen Person gerichtet und fungiert insoweit als Ausgestaltung der Grundsätze von Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DS-GVO. Das Grundrecht auf den Schutz personenbezogener Daten in seiner Gänze und mithin auch Art. 32 DS-GVO müssen bereits nach dem grundlegenden Verständnis zur Disposition des Grundrechtsträgers, also der betroffenen Person stehen. Es muss der betroffenen Person also auch unbenommen sein, in alle Umstände der Verarbeitungen ihrer personenbezogenen Daten einzuwilligen, sei es die Frage des „Ob“ oder des „Wie“ der Verarbeitung, auch vor dem Hintergrund, dass die Erklärungen möglicherweise als nachteilig oder schädlich für die betroffene Person selbst wahrgenommen werden. Es wird in diesem Zusammenhang vermutlich stets auf den Grad an Informiertheit im Vorfeld der Abgabe der Erklärung abzustellen sein.

Weiter wird in Ziff. 2 wie folgt festgesetzt: „Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig.“ Mit Blick auf Ziff. 1 des Beschlusses sind die vorstehenden Ausführungen nahezu stringent. Nichts desto trotz verwundert diese Gesamtschau. Hatte sich doch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmdBfDI) in einem Aktenvermerk ursprünglich anders in dieser Thematik positioniert. Wir haben dazu bereits berichtet. Nunmehr schließt die DSK die Möglichkeit einer Einwilligungserklärung zum Verzicht bzw. zu Absenkung des vorzuhaltenden Standards der Sicherheit der Verarbeitung nach allem Anschein nach kategorisch aus.

Nach dem zuvor Gesagten erfahren diese Grundsätze in Ziff. 3 anschließend dann doch eine Ausnahme: „Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelfällen möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.“ Mit Blick auf die Ziffern 1 und 2 des Beschlusses sind die Kernaussagen der Ziff. 3 doch sehr verwunderlich. Nachdem vorab starr ein Ausschluss der Möglichkeit des Abbedingens oder Absenkens des Schutzniveaus bekundet wird, erfolgt anschließend doch eine „Rolle rückwärts“ und die DSK lässt unter strengen Voraussetzungen Ausnahmen zu. Hier bleiben bei genauer Betrachtung der Voraussetzungen allerdings viele Fragen offen. Einzig zutreffend dürfte der Hinweis auf die Beachtung des Selbstbestimmungsrechts der betroffenen Person sein. Fraglich ist hingegen, wann es zu dokumentierenden Einzelfällen (eine zahlenmäßige Beschränkung gleich welcher Art scheint dogmatisch nicht vertretbar) kommt und welche Anforderungen an einen ausdrücklichen, eigeninitativen Wunsch der informierten betroffenen Person zu stellen sein wird.

Die Ziff. 4 des Beschlusses kommt letztendlich nahezu unspektakulär daher, da es insoweit nur heißt: „Kapitel V der DSGVO (Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen) bleibt hiervon unberührt.“ Dies dürfte insoweit nicht zu beanstanden sein und wird daher nicht weiter vertieft.


WIE GEHT ES NUN WEITER?

Der HmdBfDI hat in Reaktion auf den Beschluss der DSK seinen eigenen Aktenvermerk überarbeitet. Nach Ansicht der Aufsichtsbehörde ist – dies ist insoweit auch mit den Ausführungen in dem Beschluss übereinstimmend – ein Verzicht der betroffenen Person auf die Anwendung von technischen und organisatorischen Maßnahmen möglich. Hierfür ist erforderlich, dass Verantwortliche die nach Art. 32 DS-GVO erforderlichen Maßnahmen überhaupt bereit hält und dass die Verzichtserklärung der betroffenen Person den Anforderungen des Art. 7 DSGVO analog genügt. In Bezug auf die Verzichtserklärung führt der HmdBfDI aus: „Die DSGVO enthält mit Art. 7 DSGVO grundsätzliche Maßstäbe zur Beurteilung, wie eine Einwilligung der betroffenen Person zu gestalten ist. Diese beziehen sich zwar unmittelbar nur auf das „Ob“ der Verarbeitung, sind jedoch entsprechend auch auf das „Wie“ anzuwenden. Der Verzicht auf die technische Umsetzung („Wie“) einer Verarbeitung ist sinnvollerweise nach denselben Maßstäben zu beurteilen, wie die Frage, ob die Verarbeitung nach Art. 6 DSGVO zulässig ist („Ob“).“ Weiter heißt es: „Eigeninitiativ bedeutet dabei, dass die betroffene Person an den Verantwortlichen mit einem entsprechenden Wunsch herantreten muss. Dies setzt ein aktives Handeln der betroffenen Person voraus. Ein solches aktives Handeln kann eine mündliche oder schriftliche Bitte sein, aber auch das Anklicken eines entsprechenden Auswahlfeldes in einem (Online-)Formular. Ein eigeninitiatives Handeln liegt allerdings nicht vor, wenn die betroffene Person ohne ein eigenes Zutun auf die Anwendung von TOM „verzichtet“, etwa indem sie ein Online-Formular abschickt, bei welchem ein entsprechendes Feld („ich verzichte auf eine verschlüsselte elektronische Kommunikation“) bereits vorausgewählt ist.“

Für die Praxis ergibt sich nach den Ausführungen des HmdBfDI demnach die Erforderlichkeit der Gestaltung einer Verzichtserklärung in der Gestalt bzw. unter den Voraussetzungen einer Einwilligungserklärung, aber eben nicht als solche deklariert. Insbesondere hinsichtlich der Anforderungen an die Freiwilligkeit, Bestimmtheit und Informiertheit der Verzichtserklärung dürften diese als im Einklang mit der Datenschutz-Grundverordnung zu sehen sein, da auf den ersten Blick insoweit keine strengeren Anforderungen aufgestellt werden. Inwieweit die Anforderungen an den eigeninitativen Wunsch der betroffenen Person über die Anforderungen der DS-GVO hinaus gehen oder letztendlich „nur“ eine Umformulierung hinsichtlich der Betätigung des freien Willens ist, wird noch zu erörtern und mit Sicherheit Gegenstand zahlreicher Diskussion sein. Mit Blick auf die oben dargestellten Schutzsphäre des Grundrechtes auf Datenschutz aus Art. 8 GRCh muss ein mögliches Aufstellen strengerer Anforderungen an die Ausübung bzw. Sicherung der Rechtsposition des Grundrechtsträgers dann logischerweise trefflich in Frage gestellt werden.


FAZIT

Die zentrale Problematik des Beschlusses zeigt sich in der Praxis typischerweise anhand der (E-Mail-)Verschlüsselung. In den zu betrachtenden Fällen ergibt eine Abwägung nach Art. 32 DS-GVO – auch im Hinblick auf die von der DSK in der Orientierungshilfe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail festgelegten Grundsätze – allzu häufig, dass eine Ende-zu-Ende-Verschlüsselung geboten ist. Dies führt nicht zuletzt vermehrt bei den Gruppen der Berufsgeheimnisträgern selbst unter dem Gesichtspunkt, dass die datenschutzrechtlichen Verantwortlichen die erforderlichen entsprechende technische und organisatorische Maßnahmen in Form von Verschlüsselungstechnologien vorhalten, immer wieder zu Nutzerakzeptanzproblemen seitens der betroffenen Personen. Insofern wäre eine vertiefte Auseinandersetzung mit der Problematik seitens der DSK wünschenswert gewesen. Allerdings ist ein Beschluss nun einmal nur ein Beschluss und muss nicht weitergehend begründet werden. Unter Bezugnahme auf die Selbstbestimmtheit der betroffenen Personen erscheint es allerdings nahezu zwingend, dass zu den dispositiven Bestimmungen eben auch jene über die Sicherheit der Verarbeitung zählt. Ob es dafür eines dogmatischen Umweges über eine Verzichtserklärung bedarf oder doch der Gang über eine Einwilligung möglich ist, wird zu beobachten sein. Letztendlich bedarf es in dieser Sache vermutlich einer Klärung durch die Rechtsprechung.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Betroffene Person
  • Datenschutzkonferenz
  • Einwilligung
  • Technische-organisatorische Maßnahmen
  • Verzichtserklärung
Lesen

DER DATENSCHUTZ-JAHRESRÜCKBLICK TEIL I

Das Jahr 2021 war – selbstredend nicht für uns Datenschützer – erneut im starken Rahmen durch die Einwirkungen der Coronavirus-Krankheit-2019 (COVID-2019) geprägt. Insbesondere mit Blick auf die in diesem Zusammenhang anfallenden Verarbeitungen von Gesundheitsdaten als besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DS-GVO stellen sich einige rechtliche und praktische Fragen. Hinzu treten Dauerbrenner wie der Einsatz von Dienstleistern in datenschutzrechtlichen Drittländern, die Nutzung von Microsoft 365, der datenschutzkonforme Einsatz von Cookies und vergleichbaren Diensten sowie rechtliche und praktische Handhabung von Betroffenenrechten. Darüber hinaus hat die ein oder andere Aufsichtsbehörde einen Wechsel an der Position der/des Landesdatenschutzbeauftragten vollzogen oder zumindest ist die Stelle derzeit vakant. Im nachfolgenden Beitrag werfen wir einen Blick zurück und beginnen mit den Monaten Januar bis April 2021:


JANUAR 2021

Das Jahr begann für viele Datenschützer mit Fragen rund um die Datenübermittlung in das Vereinigte Königreich. Wir haben dazu noch im Jahr 2020 berichtet. Die Datenschutzkonferenz (DSK) hatte kurz vor dem Jahreswechsel in einer Pressemitteilung veröffentlicht, dass Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland für eine Übergangsperiode nicht als Übermittlungen in ein Drittland (Art. 44 DS-GVO) angesehen werden. Die Rechtslage entspannte sich ein wenig, als die Europäische Kommission zwei Angemessenheitsbeschlüsse für das Vereinigte Königreich angenommen hat. Diese Angemessenheitsbeschlüsse für das Vereinigte Königreich bieten für die Übermittlung personenbezogener Daten für verantwortliche Stellen (zunächst) Rechtssicherheit.

Am 8. Januar 2021 erklärte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen in einer Pressemitteilung, dass eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen wurde. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche. Im gegenständlichen Fall war die Videoüberwachung aber auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden.


FEBRUAR 2021

In einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg wird bekannt gegeben, dass das das Prüfverfahren beim VfB Stuttgart 1893 e.V. und der VfB Stuttgart 1893 AG abgeschlossen sei und ein Bußgeldverfahren eröffnet werde. Geprüft wurden die Datenverarbeitungen in Verein und AG rund um die Mitgliederversammlung zur Entscheidung über die Ausgliederung der Profifußballabteilung im Jahr 2017, sowie einzelne Datentransfers an einen externen Dienstleister der VfB Stuttgart 1893 AG im Jahr 2018 und Fragen zur aktuellen Umsetzung der geltenden Rechtslage unter der DS-GVO.

Am 18. Februar 2021 hat das Landgericht Berlin das Bußgeldverfahren der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) gegen die Deutsche Wohnen SE eingestellt. Am 30.09.2019 hatte die BlnBDI gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die DS-GVO festgesetzt. Mitteilungen seitens des Landgericht Berlin gegenüber den Medien zufolge leidet der Bescheid unter gravierenden Mängeln, da ein Verfahrenshindernis vorliegt, genauer gesagt, weil Angaben zur konkreten Tathandlungen von Leitungspersonen oder gesetzlichen Vertretern fehlen. Das Landgericht folgte in seiner Entscheidung damit einer anderen Rechtsauffassung hinsichtlich der Auslegung des deutschen Ordnungswidrigkeitenrechts als die deutschen Datenschutz-Aufsichtsbehörden vertreten. In einer späteren Pressemitteilung der BlnBDI wurde bekannt, dass die Staatsanwaltschaft Berlin Rechtsmittel gegen den Beschluss des Landgerichts Berlin eingelegt hat.


MÄRZ 2021

Anfang März überschlugen sich die Meldungen zu Sicherheitslücken bei Microsoft Exchange-Mail-Servern. Mit der Pressemitteilung vom 5. März 2021 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über kritische Schachstellen, die bei den auch in Deutschland sehr weit verbreiteten Exchange-Servern auftraten und somit über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert sind. Das BSI empfiehlt in dieser Mitteilung allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden.

Datenschutzrechtlich Relevanz entfaltet dieser Vorfall insbesondere im Zusammenhang mit der Auslegung und Anwendung von Art. 33 DS-GVO und der in diesem Rahmen möglichen Meldepflicht von IT-Sicherheitsvorfällen. Die sogenannte Hafnium-Sicherheitslücke betreffend äußerten sich auch die deutschen Datenschutz-Aufsichtsbehörden zum Teil sehr unterschiedlich. Das Bayrische Landesamt für Datenschutzaufsicht und der Bayrische Landesbeauftragte für den Datenschutz gingen in einer gemeinsamen Praxishilfe vom Vorliegen einer Meldepflicht gemäß Art. 33 Abs. 1 DS-GVO nicht nur in den Fällen einer Kompromittierung, sondern auch beim verspäteten Einspielen der Sicherheitsupdates aus.  Hingegen vertrat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LdI NRW) in einer Mitteilung die Ansicht, dass nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. In diesen Fällen nahm die LdI NRW eine Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO an. Eine Übersicht über die Äußerungen der Aufsichtsbehörden findet sich hier. Die vielen unterschiedlichen Ansichten sorgten für extreme Rechtsunsicherheit bei verantwortlichen Stellen und Auftragsverarbeitern. Die Hafnium-Sicherheitslücke zum Anlass genommen hat eine Unterarbeitsgruppe des AK Datenschutzes der Bitkom einen entsprechenden Leitfaden zur Auslegung der Art. 33 und Art. 34 DS-GVO veröffentlicht. Erforderlich ist bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen der Art. 33 und Art. 34 DS-GVO stets eine exakte Betrachtung und Bewertung des Vorliegens einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO.

Mittlerweile waren auch Kontakt-Nachverfolgungs-Apps auf den Plan vieler Datenschützer getreten. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg veröffentlicht die Stellungnahme vom 2. März 2021 zur „Luca-App“. Die DSK veröffentlicht zu dieser Thematik am 26. März 2021 eine Stellungnahme zur Kontaktnachverfolgung in Zeiten der Corona-Pandemie. Dabei weißt weist sie ausdrücklich darauf hin, dass digitale Verfahren zur Verarbeitung von Kontakt- und Anwesenheitsdaten datenschutzkonform betrieben werden müssen. Eine digitale Erhebung und Speicherung kann bei entsprechender technischer Ausgestaltung durch eine geeignete dem Stand der Technik entsprechende Verschlüsselung inklusive eines geeigneten sicheren Schlüsselmanagements einen im Vergleich mit Papierformularen besseren Schutz der Kontaktdaten vor unbefugter Kenntnisnahme und Missbrauch gewährleisten.


APRIL 2021

Im April nahmen langsam die Diskussionen rund um das Thema Durchführung von Online-Prüfungen wieder zu. So äußerte sich wiederrum der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg in einer Pressemitteilung: Online-Prüfungen sollen dazu dienen, Wissen und Fähigkeiten der Studierenden abzufragen und diese nicht übermäßig zu überwachen. Digitale Formate zur Kontrolle von Prüfungen – Online-Proctoring – können massiv in die Rechte von Studierenden eingreifen. Beim Online-Proctoring werden Studierende mitunter aufgefordert, die Webcam und das Mikrofon am Gerät dauerhaft während der Prüfung einzuschalten und sicherzustellen, dass keine unerlaubten Hilfsmittel und niemand anderes im Privatraum des Studierenden sind. Zur Unterbindung von Täuschungshandlungen dürfen die Kamera- und Mikrofonfunktion nur aktiviert werden, soweit dies für das Prüfungsformat zwingend erforderlich ist. Eine darüberhinausgehende Raumüberwachung darf nicht stattfinden. Die Videoaufsicht ist im Übrigen so einzurichten, dass der Persönlichkeitsschutz und die Privatsphäre der Betroffenen „nicht mehr als zu berechtigten Kontrollzwecken erforderlich“ eingeschränkt werden.

Weiter geht es in den kommenden Wochen mit den Monaten Mai bis August 2021 sowie September bis Dezember 2021, dann unter anderem mit den Themen TTDSG, Diskussionen rund um die Erhebung von Immunisierungs- und Testdaten von Beschäftigten, dem Urteil des BGH zu Art. 15 DS-GVO, den neuen Standarddatenschutzklauseln und einem Ausblick auf den Wechsel an der Spitze im Haus der sächsischen Datenschutz-Aufsichtsbehörde.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Angemessenheitsbeschluss
  • Datenschutzkonferenz
  • Datenschutzverletzung
  • Drittlandübermittlung
  • Jahresrückblick
Lesen

DREI JAHRE DATENSCHUTZ-GRUNDVERORDNUNG

Am 25. Mai 2021 jährt sich das Datum zur Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO) bereits zum dritten Mal. Bestanden in den ersten beiden Jahren die Herausforderungen insbesondere in der Bewältigung des Überraschungsmomentes sowie der Ergründung, medialen Aufbereitung und Beseitigung von Datenschutz-Mythen und Rechtsunsicherheiten, waren die vergangenen zwölf Monate hauptsächlich durch pandemiebedingte Fragestellungen geprägt. Home-Office, Kontaktnachverfolgung und Videokonferenzen – selbstverständlich inklusive der stets mitschwingenden Datenübermittlung in Drittländer – bestimmten in dieser Zeit die Arbeit aller Datenschützenden. Anlass genug für eine kurze Betrachtung des datenschutzrechtlichen Ist-Zustandes.


EVALUATION DER DS-GVO IM JAHR 2020

Gemäß Art. 97 Abs. 1 S. 1 DS-GVO hatte die Kommission bis zum 25. Mai 2020 dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung der DS-GVO vorzulegen. Dieser wurde mit rund einem Monat Verspätung am 24. Juni 2020 veröffentlicht. Gegenstand dieses Berichts können gemäß Art. 97 Abs. 2 DS-GVO insbesondere die Anwendung und Wirkweise des Kapitels V der DS-GVO über die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen sowie des Kapitels VII bezüglich der Zusammenarbeit und Kohärenz der Aufsichtsbehörden sein. Die Kommission hat dabei die Möglichkeit unter Berücksichtigung der Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft geeignete Vorschläge zur Änderung der Verordnung vorzulegen.

In ihrem Bericht zieht die Kommission eine überwiegend positive Bilanz, greift in den Ausführungen aber insbesondere hinsichtlich der Zusammenarbeit der Aufsichtsbehörden untereinander zu kurz. Zwar ist hervorzuheben, dass die (personelle) Ausstattung der Aufsichtsbehörden zur Sicherstellung ihrer Aufgaben und Befugnisse gemäß Artt. 57, 58 DS-GVO nicht den aktuellen Anforderungen entspricht, jedoch stellt dies nur ein Teil des wesentlichen Problems dar. Im Speziellen am Beispiel der irischen Datenschutzaufsichtsbehörde wird deutlich, dass das sogenannte „One-Stop-Shop-Prinzip“ Potenzial zu Nachbesserungen bietet: Von 197 bei der irischen Aufsichtsbehörde anhängigen Verfahren, liegen gerade einmal zu vier Verfahren Entscheidungen vor.


DAS PROBLEM MIT DER DRITTLANDÜBERMITTLUNG

Mit Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in der „Schrems II“-Entscheidung das sogenannte „EU-US-Privacy Shield“ für unzulässig erklärt. Die Begründung liegt darin, dass innerhalb der USA insbesondere aufgrund der Zugriffsmöglichkeiten von Geheimdiensten Datenverarbeitungen keinem gleichwertigen Datenschutzniveau unterliegen. Zwar sind Datenübermittlungen in die USA weiterhin möglich, beispielsweise unter Nutzung der Standardvertragsklauseln, jedoch sind hierbei technische und organisatorische Maßnahmen zu treffen, um einen möglichen Zugriff seitens der US-Behörden grundsätzlich auszuschließen.

Speziell im Bereich von Internetseiten, z.B. bei der Implementierung von US-amerikanischen Videodiensten, stellt sich immer wieder die Frage, auf welche Rechtsgrundlage nach Kapitel V der DS-GVO  die Datenverarbeitung gestützt werden kann. Insbesondere unter Berücksichtigung der Rechtsprechung des EuGH und BGH zur Cookie-Thematik drängt sich hierbei oftmals die ausdrückliche Einwilligung der betroffenen Person gemäß Art. 49 Abs. 1 S. 1 lit. a DS-GVO auf. Strittig ist dabei jedoch, ob die „Ausnahmen für bestimmte Fälle“ nach Art. 49 DS-GVO überhaupt im Rahmen von Internetseiten und den damit einhergehenden regelmäßigen Datenverarbeitungen und einer Vielzahl von Anwendungsfällen herangezogen werden dürfen. Wird dies verneint – eine nicht selten vertretene Meinung – führt das zwangsläufig zum Ausschluss derartiger Inhalte mit datenschutzrechtlichem Drittlandbezug. An dieser Stelle tritt bei Seitenbetreibern vor allem bei Diensten mit fehlenden gleichwertigen Alternativen innerhalb der EU schnell Ernüchterung ein. Es muss somit die Frage erlaubt sein, ob sich der internationale Datenschutz mit der DS-GVO in der Sackgasse befindet.


HERAUSFORDERUNGEN IN DER PANDEMIE

Im Rahmen der Pandemiebekämpfung wurden vermehrt Stimmen nach einer Lockerung des Datenschutzes beziehungsweise zu einer größeren Flexibilität in der Anwendung datenschutzrechtlicher Regelungen laut. Hierbei wird oft vergessen, dass es sich bei dem Recht auf informationelle Selbstbestimmung um ein aus den Grundrechten hergeleitetes Recht eines jeden Einzelnen handelt. Datenschutz ist somit Grundrechtsschutz.

Auch die Behauptung, der Datenschutz habe 70.000 Todesfälle verursacht, entbehrt jeglicher Grundlage. Ein exakter Blick auf die Normen der DS-GVO ergibt schnell: Datenverarbeitungen zum Schutz „lebenswichtiger Interessen“ (Art. 6 Abs. 1 S. 1 lit. d DS-GVO) sind ebenso ausdrücklich vorgesehen und zulässig wie Datenverarbeitungen „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“ (Art. 9 Abs. 2 lit. i DS-GVO). Auch ein Blick in andere Länder zeigt, dass Datenschutz und ein erfolgreiches Pandemiemanagement einander nicht widersprechen müssen. Das in diesem Zusammenhang oftmals positiv vorangestellte Land Israel hat bereits im Jahr 2011 ein den europäischen Regelungen gleichwertiges Datenschutzniveau attestiert bekommen. Und auch in anderen Bereichen scheinen die rechtlichen Gegebenheiten nicht sonderlich von den hiesigen abzuweichen.

Oft in Vergessenheit gerät zudem, dass durch den Datenschutz und die Aufsichtsbehörden im Rahmen der Pandemiebekämpfung zahlreiche Maßnahmen mitgetragen werden. Seien es die vielfältigen Listen zur Kontaktnachverfolgung in Restaurants, Geschäften sowie im Rahmen körpernaher Dienstleistungen, die Realisierung von (nicht immer ganz datenschutzkonformen) Homeoffice-Lösungen oder die Nutzung von Videokonferenzsystemen mit Drittlandbezug. Letztgenanntes ist insbesondere im Zusammenhang mit Homeschooling ein viel diskutiertes Thema. Aber hat sich tatsächlich der Datenschutz die Defizite in diesem Bereich zuzuschreiben?


DER SCHLECHTE RUF DES DATENSCHUTZES

Vielfach steht der Datenschutz im Fokus diverser und kontroverser Diskussionen. Diese haben dabei häufig eines gemeinsam: Der Datenschutz verhindere ein bestimmtes Vorgehen oder verbaue Chancen und Möglichkeiten. Leider wird im Hinblick auf solche Debatten zu selten der tatsächliche Wahrheitsgehalt derartiger Behauptungen überprüft. Damit soll nun keine absolut konträre Darstellung erfolgen, grundsätzlich sei alles möglich. Durch die datenschutzrechtlichen Regelungen werden jedoch viel eher Rahmenbedingungen festgelegt, die datenverarbeitende Stellen zu achten und durch technische und organisatorische Maßnahmen sicherzustellen haben. Abstrakt betrachtet gilt Gleiches für eine Vielzahl weiterer Rechtsgebiete.

Dem Datenschutz fehlt es eindeutig an gutem Marketing. Hier gilt es in den nächsten Jahren große Arbeit zu leisten. Denn durch die zunehmende Digitalisierung werden auch die datenschutzrechtlichen Themen weiterhin an Bedeutung, aber auch an Komplexität gewinnen. Großes Potenzial bietet hierzulande die Verbesserung von Koordination und Kommunikation der datenschutzrechtlichen Aufsichtsbehörden untereinander. Deutschland bietet mit seinen 16 Bundesländern ein beachtliches Ausmaß von 17 Landesdatenschutzbeauftragten, ergänzt durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Im Zweifelsfall ergibt sich somit ein Konvolut an datenschutzrechtlichen Auffassungen zu identischen Sachverhalten in Deutschland. Dem Laien kann es in diesem Fall nur an Verständnis fehlen, wenn die DS-GVO auf eine europaweite Vereinheitlichung des Datenschutzrechts abzielt, dann aber Sachverhalte in Berlin und Potsdam jeweils kaum unterschiedlicher bewertet werden könnten. Ein mögliches Instrument besteht hierbei in Form der sogenannten „Datenschutzkonferenz“ (DSK) bereits.

Dass die DS-GVO grundsätzlich ein großes Potenzial bietet und einen Schritt in die richtige Richtung geht, ist kaum zu bestreiten. Das zeigen auch die zahlreichen „Nachahmungen“ der DS-GVO in anderen Ländern und Regionen, wie z.B. Brasilien oder Kalifornien. Nur bedarf es einer stetigen Beobachtung der technischen und rechtlichen Rahmenbedingungen sowie eine damit einhergehende Weiterentwicklung der datenschutzrechtlichen Normierungen. Zukünftige Evaluationen sollten diesen Anforderungen in ausreichendem Umfang Rechnung tragen. In diesem Sinne können wir nur gespannt darauf warten, welche Herausforderungen uns das vierte Jahr der DS-GVO bieten wird.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Corona-Pandemie
  • Datenschutz-Grundverordnung
  • Datenschutzkonferenz
  • Drittlandübermittlung
  • Evaluation
Lesen

BUßGELDER NACH DER DS-GVO

Die Sanktionierungsmöglichkeit der Datenschutz-Aufsichtsbehörden mittels Verhängung von Bußgeldern ist seit geraumer Zeit wieder stärker in den Fokus der Öffentlichkeit gerückt. Grund hierfür sind insbesondere Leuchtturmverfahren, wie beispielsweise den Erlass des Bußgeldes in Höhe von 35,3 Mio. Euro durch den Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit gegenüber der Modekette H&M. Darüber hinaus wird über das Verfahren gegen ein Millionenbußgeld vor dem Landgericht Bonn berichtet. Selbstredend laufen neben diesen medienbekannten Fällen noch eine Vielzahl weiterer Bußgeldverfahren. Einen Überblick kann man sich z.B. durch den GDPR Enforcement Tracker verschaffen. 

Mit Sicherheit sind die Höhen der Bußgelder bemerkenswert und erregen gerade deshalb entsprechende Aufmerksamkeit. Für die Anwender ergeben sich für die Bußgeldpraxis eine Reihe von relevanten Fragestellungen: 


WELCHE RECHTLICHEN GRUNDLAGEN GIBT ES?

Art. 83 Abs. 1 DS-GVO erlaubt den Datenschutz-Aufsichtsbehörden die Verhängung von wirksamen, verhältnismäßigen und abschreckenden Bußgeldern. Sanktioniert werden können hierbei die in Art. 83 Abs. 4 bis 6 DS-GVO normierten Tatbestände. Daneben bringt Art. 83 Abs. 8 DS-GVO i.V.m. § 41 BDSG die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) für das Sanktionsverfahren zur Anwendung.  


WAS IST DAS BUßGELDMODELL DER DATENSCHUTZ-AUFSICHTSBEHÖRDEN? 

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) hat 2019 ein mittlerweile viel diskutiertes Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht. Dieses Konzept soll den Aufsichtsbehörden bei der Zumessung der Höhe des Bußgeldes im Einzelfall die Fahrtrichtung vorgeben. Gebildet wird ein sogenannter „Tagessatz“, welcher sich am Vorjahresumsatz orientiert. Anschließend erfolgt je nach Schwere des Verstoßes eine Multiplikation mit einem entsprechenden Faktor. Wohl zurecht wird dieses Konzept – allen voran aufgrund der Bemessungskriterien und -faktoren – von vielen Seiten scharf kritisiert. 


HAFTEN UNTERNEHMEN FÜR IHRE BESCHÄFTIGTEN?

Viel diskutiert wird zudem die Frage wer Adressat von Bußgeldern sein kann. Zur Beantwortung dieser Frage ist entscheidend, ob im Bußgeldverfahren die nationalen Regelungen der §§ 30, 130 OWiG zur Anwendung kommen. Die Datenschutz-Aufsichtsbehörden richten den Fokus eindeutig auf die Verantwortlichen und Auftragsverarbeiter. Sie sehen die Regelung des § 30 OWiG durch den Anwendungsvorrang der DS-GVO verdrängt. Dies hat die DSK in ihrer Entschließung klargestellt.  Die Haftung für Verschulden der Beschäftigten resultiert durch Erwägungsgrund 150 DS-GVO aus der Anwendung des sogenannten funktionalen Unternehmensbegriffs des europäischen Primärrechts gemäß Art. 101, 102 Vertrag über die Arbeitsweise der Europäischen Union (AEUV). Hiernach haften Unternehmen für das Fehlverhalten ihrer Beschäftigten, ohne dass eine Kenntnis oder gar eine Anweisung erforderlich ist. Ausnahme wiederrum bildet der sogenannte Mitarbeiter-Exzess, also Handlungen, die aufgrund vorsätzlichen Fehlverhaltens nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zuzurechnen sind. So geschehen durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, der ein Bußgeld gegen einen Polizeibeamten verhängte.  


BESTEHEN MÖGLICHKEITEN ZUR VERMEIDUNG HOHER BUßGELDER?

In Sachen AOK Baden-Württemberg war in der Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg zu lesen, dass eine Geldbuße in Höhe von 1,24 Mio. Euro verhängt und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt. Der LfDI Baden-Württemberg schildert weiterhin, dass die umfassende interne Überprüfung und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation sich zu Gunsten der AOK ausgewirkt haben. 

Auch im Fall von H&M wurde unternehmensseitig mit der der Aufarbeitung des Vorfalls sowie der Anregung verschiedener künftig zu treffender Maßnahmen eine Verringerung der Höhe des Bußgeldes erwirkt. Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept. Zur Aufarbeitung der Geschehnisse hat sich die Unternehmensleitung zudem nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Der Bußgeldbescheid ist mittlerweile auch bestandkräftig.  

Doch wie ist eine solche Kooperation mit der Datenschutz-Aufsichtsbehörde i.R.e. Bußgeldverfahrens einzuordnen? Nicht außer Acht gelassen werden darf hierbei, welche Rolle die Veröffentlichung beziehungsweise das Bekanntwerden eines Datenschutzverstoßes spielt. Folgeprobleme können ferner beispielsweise Schadenersatzklagen durch die Betroffenen sein.  


WELCHE MÖGLICHKEITEN BESTEHEN, UM GEGEN EINEN BUßGELDBESCHEID VORZUGEHEN?

Allen voran besteht die Möglichkeit gegen einen Bußgeldbescheid einer Datenschutz-Aufsichtsbehörde einen Einspruch gemäß § 67 OWiG innerhalb von zwei Wochen nach Zustellung des Bescheides einzulegen. Der Bescheid kann sowohl formelle (Zuständigkeit, Verfahren und Form) als auch materielle Mängel (Verhältnismäßigkeit des Bußgeldes) aufweisen. 

Auf den ersten Blick muss die Entscheidung des LG Bonn nach dem oben Gesagten wie ein „Sieg“ des Unternehmens wirken, wurde doch das Bußgeld von knapp 9 Mio. Euro auf 900.000 Euro gekappt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sieht sich durch die Entscheidung ebenfalls bestätigt. In Hinsicht darauf, dass das Bußgeld dem Grunde nach Bestand hat, muss das das Urteil aus Sicht des BfDI sicherlich als Erfolg gewertet werden. Beachtung verdient aber definitiv, dass das Gericht von einem Anwendungsvorrang der DS-GVO gegenüber dem nationalen Bußgeldrecht ausgeht und so eben jenen funktionalen Unternehmensbegriffs bestätigt.  

Lesenswert in diesem Zusammenhang in jedem Fall auch die Aufhebung des Bußgeldes i.H.v. 18 Mio. Euro gegen die Österreichische Post durch das österreichische Bundesverwaltungsgericht (BVerwG, Erkenntnis v. 26.11.2020 – Az.: W258 2227269-1). 


FAZIT

Die Vielzahl der Verfahren zeigt uns einmal mehr, dass Organisationen gut beraten sind, den Datenschutz, die Datensicherheit sowie die IT-Sicherheit ernst zu nehmen. Insbesondere im Fall von H&M wird offensichtlich, welche Konsequenzen durch eine schwere Missachtung des (Beschäftigten-) Datenschutzes herbeigeführt werden. Mit Sicherheit sind erlassene Bußgeldbescheide nicht in Stein gemeißelt und können vor allem Dinge hinsichtlich der Höhe einer gerichtlichen Überprüfung unterzogen werden. Das 1&1-Verfahren aber zeigt uns, dass die Sanktionierung dem Grunde nach vor den Gerichten Bestand haben kann. 

Kein Unternehmen kann es sich mehr erlauben, den Datenschutz zu vernachlässigen. Verstöße gegen das geltende Datenschutzrecht bleiben nicht ohne Folgen. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Bußgeld
  • Bußgeldmodell
  • Datenschutzkonferenz
  • DS-GVO
  • Haftung
Lesen

ORIENTIERUNGSHILFE DER DSK: ORIENTIERUNG? HILFE?

Am 23. Oktober 2020 hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz: Datenschutzkonferenz [DSK]) eine Orientierungshilfe zum Einsatz von Videokonferenzsystemen herausgegeben. Die sich hieraus ergebenden datenschutzrechtlichen Anforderungen haben wir bereits in der letzten Woche dargestellt. Der folgende Beitrag setzt sich kritisch mit der Frage auseinander, ob die Orientierungshilfe der DSK ihrem Namen gerecht wird. Antwort vorweg: Ja, aber. Für Datenschutz-Praktiker ist die Orientierungshilfe teils wirklich hilfreich und definitiv lesenswert.


HILFREICH UND LESENSWERT – ABER:

Auf 25 Seiten (!) werden oft allgemeine Datenschutzgrundsätze wiederholt, statt sie auf das Thema anzuwenden. Man muss (bestenfalls) schmunzeln, wenn mittendrin (Seite 13 unten und Seite 14 oben, unter Ziff. 3.5.1) von den Verantwortlichen etwas verlangt wird, das die Datenschutzkonferenz nicht schafft: Informationen, die „für einen durchschnittlichen Nutzer des Dienstes ohne übermäßigen Aufwand verständlich sind“. „Übermäßig komplexe Formulierungen und technische oder juristische Fachbegriffe sollten vermieden werden“. In dieser Hinsicht gut gelungen ist die anfängliche Unterscheidung zwischen möglichen Betriebsmodellen (On-Premise, externer IT-Dienstleister, Online-Dienst). Aber: Zwischen den beiden letztgenannten Fällen besteht datenschutzrechtlich kein nennenswerter Unterschied. Ausreichend wäre die Differenzierung: Auftragsverarbeiter beteiligt – ja oder nein.

Nicht überraschend, trotzdem ärgerlich ist, dass die DSK ganz schwierige aktuelle Themen (nämlich gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO und Drittstaatstransfer, insbesondere in die USA) anspricht, ohne brauchbare Aussagen zu treffen:

Beim Thema gemeinsamer Verantwortlichkeit (in der Orientierungshilfe unter Ziff. 3.3) dürfte für Videokonferenzsysteme richtig sein, dem Dienstleister eine Datenverarbeitung zu eigenen Zwecken schlicht zu untersagen. Die nach der EuGH-Rechtsprechung schwierige Frage der Abgrenzung zwischen separaten Verarbeitungen verschiedener Verantwortlicher und der Verarbeitung in gemeinsamer Verantwortlichkeit stellt sich dann nicht.

Hinsichtlich des Drittstaat-Transfers (insbesondere in die USA): Fast alle Anbieter von Videokonferenzsystemen sind entweder selbst in den USA tätig oder haben dort ansässige Sub-Auftragsverarbeiter eingeschaltet. Die Ausführungen des EuGH im Urteil Schrems II (16.07.2020, Rechtssache C-311/18) laufen darauf hinaus, dass DS-GVO-Verantwortliche für ein angemessenes Datenschutzniveau bei Datenempfängern in den USA den Zugriff dortiger Geheimdienste insbesondere nach FISA 702 ausschließen müssen. Dies ist (natürlich) unmöglich. Weder die Datenschutzkonferenz, noch der Europäische Datenschutzausschuss können dafür Wege aufzeigen. Sie behelfen sich mit (richtigen, aber völlig inhaltsleeren) Formulierungen: Die Verantwortlichen müssten im Einzelfall sorgfältig prüfen, angemessene Maßnahmen ergreifen, Datenschutz-Grundsätze beachten – und so weiter und so fort (in der Orientierungshilfe S. 16-18 unter 3.5.6). Sehr viel konkreter und konsequenter ist die Empfehlung, soweit irgend möglich auf Drittstaats-Transfers zu verzichten, also EU-Dienstleister zu bevorzugen (z.B. LfDI Baden-Württemberg). Aber ist eine „Daten-Insel EU“ lebensnah? Die Orientierungshilfe Videokonferenzsysteme geht insoweit immerhin an die Grenzen offizieller Äußerungen, wenn sie schreibt: „Es bedarf noch weiterer Analysen, um im Lichte dieser vom EuGH klargestellten Anforderungen konkretere Aussagen dahingehend treffen zu können, ob […] personenbezogene Daten in die USA […] übermittelt werden können“ (Ziff. 2.3, Seite 7 unten). Eine „eingehende Analyse“ der EuGH-Entscheidung war bei Entstehung der Orientierungshilfe, drei Monate nach dem EuGH-Urteil, natürlich längst abgeschlossen. Sie führt eben zu dem unerträglichen, praktisch nicht umsetzbaren Ergebnis, dass mit den Anforderungen des EuGH keine Übermittlung personenbezogener Daten in die USA (und viele Staaten dieser Welt) möglich ist.


ORIENTIERUNGSHILFE IN TEILEN MISSVERSTÄNDLICH

In einer kurzen und übersichtlichen Orientierungshilfe hätten zwei typische Datenschutz-Gefahren bei Videokonferenzsystemen mehr Beachtung verdient:

Teilnehmer an Videokonferenzen sind meist über die Funktionen der Software nicht ausreichend informiert, also höchst unsicher in deren Handhabung. Nutzer werden ganz ohne Vorbereitung oder mit Einweisung unter hohem Zeitdruck „allein gelassen“. Oft genug müssen sie „im Selbstversuch“ herausfinden, wie die Software funktioniert, wie z.B. Video- und Audiofunktionen aktiviert / deaktiviert werden. Eine kurze Unterweisung des Nutzers vor Einsatz der Software ist deshalb (auch) unter Datenschutz-Aspekten obligatorisch.

Der heimliche „Mitschnitt“ von Ton (und Bild) wird von vielen Nutzern nicht als strafbar (§ 201 StGB) erkannt. Die Mitschnittmöglichkeit nehmen viele Nutzer als zusätzlichen Vorteil der Videokonferenzsysteme (im Vergleich mit traditionellen persönlichen Treffen) wahr, von der man (spielerisch oder „vorsorglich“) Gebrauch macht. Darin liegt eines der größten Datenschutz-Risiken beim Einsatz von Videokonferenzsystemen. In der Orientierungshilfe wird es unter Ziff. 3.4.8 (Seite 13) nur sehr versteckt erwähnt.

Zuletzt zwei Punkte, bei denen die Orientierungshilfe in die Irre führt:

(1) Entgegen Ziff. 4.2.4 (dort dritter Spiegelstrich) sind Gastzugänge bei Videokonferenzsystemen nicht nur zulässig, wenn alle Teilnehmer „untereinander bekannt sind“. Vielmehr dürfen Systeme auch mit völlig offenem Teilnehmerkreis betrieben werden. Notwendig ist dafür nur, dass die offene Teilnahme bekannt ist (Beispiel: Online-Besprechung einer Bürgerinitiative).

(2) In Ziff. 4.8 verlangt die Orientierungshilfe, dass Teilnehmende die technische Möglichkeit haben müssten, „Kamera und Mikrofon auszuschalten, wobei getrennte Deaktivierungsmöglichkeiten für Audio- und Videoübertragung vorzusehen sind“. Eine solche „Abschaltmöglichkeit“ ist datenschutzrechtlich nirgends generell vorgeschrieben. Es gibt im Gegenteil sogar Anwendungsfälle (z.B.: Bild- und Tonübertragung bei Hauptversammlungen von Aktiengesellschaften), bei denen die lückenlose Übertragung der versammlungsleitenden Personen rechtlich gefordert wird.


FAZIT

Dank an die DSK für die Stellungnahme zu einem Thema, das in Corona-Zeiten naturgemäß jeden Datenschutzbeauftragten beschäftigt. Bitte an die DSK: Orientierungshilfen noch kürzer, klarer, konkreter.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht.

    Tags:
  • Datenschutzkonferenz
  • Kommentar
  • Orientierungshilfe
  • Schrems II
  • Videokonferenzen
Lesen

ÄUßERUNG DER DATENSCHUTZKONFERENZ ZU MS OFFICE 365

Durch eine am 02. Oktober 2020 herausgegebene Pressemitteilung wurde bekannt, dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) die Bewertung ihres Arbeitskreises Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 vom 15. Juli 2020 mehrheitlich zustimmend zur Kenntnis genommen hat. Die Entscheidung der Datenschutzkonferenz erging mit einer knappen Mehrheit von neun Stimmen bei acht Gegenstimmen. Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, das für die Microsoft Deutschland GmbH zuständig ist.


WAS WURDE GEPRÜFT?

Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft und hinsichtlich der Erfüllung der Anforderungen von Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) bewertet. Im Einzelnen:

(1) Zunächst kritisiert der Beschluss die fehlende Beschreibung von Art und Zweck der Verarbeitung – selbst wenn es unter der Berücksichtigung des Dienstes MS Office 365 als cloudspezifischer Dienst sachdienlich sein kann, beide Kategorien verallgemeinert darzustellen – insbesondere wenn es um die Verarbeitung besonderer personenbezogener Daten im Sinne von Art. 9 DS-GVO geht. Es soll hierbei der Abstraktionsgrad auf Seiten von Microsoft verringert werden.

(2) Weiterhin merkt der Arbeitskreis an, dass innerhalb der Datenschutzbestimmungen für Microsoft Online-Dienste zwar darauf verwiesen wird, dass Microsoft als ein unabhängiger Verantwortlicher anzusehen ist, soweit personenbezogene Daten im Zusammenhang mit den legitimen Geschäftszwecken von Microsoft verarbeitet werden. Jedoch geht aus den Bestimmungen nicht eindeutig hervor, welche personenbezogenen Daten in diesem Rahmen verarbeitet werden. Zudem liegt für die Übermittlung weiterer personenbezogener Daten vom Verantwortlichen an Microsoft, z.B. im Rahmen der Telemetriedaten, neben dem Auftragsverarbeitungsvertrag keine weitere belastbare Rechtsgrundlage vor. Die ist insbesondere für öffentliche Stellen problematisch, da diese sich gemäß Art. 6 Abs. 1 S. 2 DS-GVO in der Erfüllung ihrer Aufgaben vorgenommenen Verarbeitungen nicht auf ein etwaiges berechtigtes Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DS-GVO berufen können.

(3) Ferner kritisiert der Arbeitskreis, dass Microsoft Daten offenlegen muss, wenn die Datenschutzbestimmungen es vorsehen oder dies gesetzlich vorgeschrieben ist. Insbesondere wird hierbei auf den sogenannten Cloud-Act verwiesen, dem Microsoft als US-Dienstleister unterliegt.

(4) Gerügt wird außerdem, dass seitens Microsoft keine ausreichende Darstellung erfolgt, welche dem Risiko angemessenen Maßnahmen der angebotene Onlinedienst für die Verarbeitung von personenbezogenen Daten bietet. Die derzeitige Darstellung zu den technischen und organisatorischen Maßnahmen allein reiche nicht aus, um eine objektive Einschätzung zu treffen, ob die Maßnahmen dem Risiko angemessen sind.

(5) Außerdem wird angemerkt, dass durch Microsoft Daten, die zu eigenen Zwecken verarbeitet werden, nicht gelöscht werden.

(6) Schließlich wird eine fehlende Transparenz hinsichtlich des Einsatzes von Unterauftragnehmern kritisiert. Diesbezüglich soll Microsoft in Zukunft proaktiv Mechanismen zur Benachrichtigung der Kunden treffen.


WAS WURDE NICHT GEPRÜFT?

Microsoft hat seine OST sowie seine DPA seit Januar 2020 bereits mehrfach überarbeitet und angepasst. Hierbei wurden Änderungen in den Verträgen und auch in den Dokumentationen vorgenommen. Die Prüfung des Arbeitskreises beruht nicht auf den aktualisierten Dokumenten. Es erfolgt keine differenzierte Betrachtung einzelner Produkte. Microsoft Office 365 ist vielmehr ein Oberbegriff für eine ganze Produktgruppe, welche strenggenommen in Office 365 und Microsoft 365 zu unterteilen sind. Innerhalb der Produktgruppen gibt es zudem zahlreiche Produkte, Lizenzen und Konfigurationsmöglichkeiten. Keine Berücksichtigung fand ferner das Urteil des Europäischen Gerichtshofes (EuGH) vom 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II).


WELCHE AUSWIRKUNGEN HAT DER BESCHLUSS FÜR DIE PRAXIS?

Festzuhalten bleibt, dass nicht alle Aufsichtsbehörden der DSK der datenschutzrechtlichen Bewertung des Arbeitskreises folgen. Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des EuGH zu internationalen Datentransfers. Sie unterstützen im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Die genannten Aufsichtsbehörden sehen die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif an. Das gilt umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen des Arbeitskreises Verwaltung erfolgt ist.

Ziel des Beschlusses war es, dass eine Grundlage geschaffen wird, auf deren Basis in den Dialog mit Microsoft getreten werden kann. Diese Gespräche sollen federführend durch den Landesbeauftragten für den Datenschutz Brandenburg und das Bayerischen Landesamts für Datenschutzaufsicht zeitnah aufgenommen werden.

Die größte Herausforderung seitens Microsoft dürfte die Anpassung hinsichtlich der Offenlegung z.B. gegenüber Strafverfolgungsbehörden (beispielsweise aufgrund des Cloud-Act) sein. Microsoft selbst setzt bereits vor dem Urteil des EuGH auf die sogenannten EU-Standardvertragsklauseln. Jedoch kann auch so ein Zugriff durch US-Behörden nicht ausgeschlossen werden. Ein Problem, welches jedoch nahezu alle US-Dienstleister gleichermaßen betrifft. Abzuwarten bleibt hier die Entwicklung hinsichtlich der Wirksamkeit der Standardvertragsklauseln.

Aufgrund der vorangestellten Ausführungen sind derzeit wohl keine konkreten Maßnahmen seitens der Aufsichtsbehörden aufgrund des Dokumentes des Arbeitskreises zu erwarten. Vielmehr geht die DSK selbst davon aus, dass eben jenes Dokument zunächst eine Gesprächsgrundlage mit Microsoft bilden kann. Organisationen in der Praxis sollten in aller erster Linie Ruhe bewahren und keine voreiligen Entscheidungen treffen. Vielmehr sollte mit größter Sorgfalt die weitere Entwicklung beobachtet werden. Deutlich wird jedoch, dass ohne jegliche Konfiguration Produkte aus den Gruppen Office 365 und Microsoft 365 nicht datenschutzkonform genutzt werden können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Auftragsverarbeitung
  • Datenschutzkonferenz
  • Microsoft
  • Office 365
  • Standardvertragsklauseln
  • USA
Lesen